La ubicación en tiempo real también podría ser una herramienta para los delincuentes.
En la era digital, las funciones de geolocalización de muchas aplicaciones ofrecen una comodidad innegable, pero, con las redes sociales, aplicaciones de citas, juegos y otros servicios en línea, quizá no sea buena idea compartir la ubicación exacta.
En este sentido, el equipo de investigación de ESET, alerta cómo algunas apps de citas filtraban ubicaciones exactas de sus usuarios.
Cuando se permite que una aplicación la utilice, por ejemplo, en una aplicación de citas, es razonable suponer que la ubicación es generalizada, por ejemplo: “situado en Tampa a 23 millas”.
Con una población de unos 400.000 habitantes, localizar la ubicación exacta de alguien debería ser una tarea difícil. La semana pasada en Black Hat USA, un equipo de investigación belga demostró que ciertas aplicaciones de citas filtraban esos datos de los usuarios, con los riesgos y violaciones a la privacidad que esto significa.
“Si bien ya se informó del problema a las numerosas aplicaciones de citas afectadas y el problema se ha resuelto, este caso es recordatorio de cómo los hábitos aparentemente inofensivos pueden poner en peligro la privacidad”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Resultados
Se demostró que a partir de los datos de “X millas de distancia” podían triangular una ubicación exacta
del usuario. Seleccionando un perfil de destino, dibujaron un círculo con su localización en el centro, hasta la distancia de 23 millas.
Tras falsearla dibujaron un segundo círculo superpuesto al anterior en algún punto. Con una tercera ubicación falseada, y un tercer círculo trazado en el lugar donde se encuentran los tres, pudieron determinar el lugar exacto del usuario objetivo, que nunca se enteró de dicha filtración.
“La misma técnica se puede utilizar cuando se establecen límites; por ejemplo, seleccionando todos los perfiles a 8 km. Si repitiéramos el proceso anterior podrá identificarse la ubicación de un perfil.
Solo las aplicaciones o servicios que utilizan la ubicación exacta tienen este problema, si se redondea a, por ejemplo, una milla, entonces no se puede identificar utilizando este método”, agrega el investigador de ESET.
Aplicaciones examinadas
Se examinaron 15 aplicaciones de citas en busca de problemas de privacidad, como el descrito anteriormente, a la vez que analizaban sus interfaces API, políticas de privacidad y otros datos.
La investigación se centró específicamente en las aplicaciones de citas, pero muchos servicios y aplicaciones utilizan la ubicación de la misma manera. Por ejemplo, en las aplicaciones de juegos, ya que
es posible en varias versiones encontrar a otros jugadores del mismo juego que estén cerca.
“Destacar el problema usando las aplicaciones de citas como ejemplo hace el caso más llamativo, ya que todos entendemos el problema de los acosadores y depredadores que pueden utilizar estas plataformas.
Sin embargo, es importante que todas las aplicaciones y servicios revisen el uso que hacen de la localización para asegurarse de que ocultan suficientes datos como para que sea imposible calcular la ubicación exacta de alguien”, advierte Gutierrez Amaya de ESET.
ESET comparte algunas medidas para mitigar el problema y limitar la precisión con la que se comparte en los dispositivos móviles:
- Cuando una aplicación pide permiso para utilizar la ubicación al instalarla, se puede cambiar el permiso para desactivar el uso compartido de la ubicación exacta.
- En los dispositivos Apple, ir a “Ajustes”, “Privacidad y seguridad” y, “Servicios de localización”; cada aplicación y su permiso correspondiente pueden mostrarse y editarse según sea necesario.
- Si utiliza Android, mantener pulsado el icono de la aplicación y en “Información de la aplicación” encontrar “Permisos”, incluido “Localización”, donde se podrá seleccionar la opción adecuada.
Para conocer más sobre seguridad informática visite el portal de noticias de ESET:
Leave a Reply